Мои изыскания по Cisco ISG

Коммутируемые соединения с авторизацией по протоколу RADIUS. WiFi портал для модуля DialUp (VPN).

Мои изыскания по Cisco ISG

Сообщение vasco » 04 июл 2011, 11:06

Добрый день, хотел бы понять как все это работает, ну и само собой рассказать, что накопал :)

Начнем с того, что собрал тестовый стенд на обычной винде 7
1. Установил GNS3
2. Там добавил одну cisco 7200 и одно Облако, облако привязал к интерфейсу сетевой карточки, а cisco привязал Гигабитным интерфейсом к облаку
3. Установил BGBilling (Сервер + Радиус + Модуль DialUp)

Настройки биллинга
Конфигурация модуля DialUp
$this->bbcode_second_pass_code('', '
...
#разрешение пользователям без определенной группы REALM ов использовать группу default
realmgr.default=default
#атрибуты, передаваемые в AUTH_ACCEPT пакете при авторизации по реалму default
#в данном случае это интервал между отправкой Update пакетов, в секундах, протокол PPP, и тип сервиса, см: RFC2865
realm.default=Acct-Interim-Interval=60;Session-Timeout=86400
#если установлено в 1 - принудительная передача Service-Type=2;Framed-Protocol=1 (рекомендуется передача этих атрибутов иными способами, см. выше realm.default)
add.service.type.and.framed.protocol=0
...
#--------------------------------------------------------#
# Ограничение скорости
#--------------------------------------------------------#
attrset.1.title=shape128_1
attrset.1.attributes=cisco-avpair=ip:sub-qos-policy-out=FLAT-128K;cisco-avpair=ip:sub-qos-policy-in=OUT
attrset.2.title=isg1024serv
attrset.2.attributes=Cisco-Service-Info=NInternet-Acct
attrset.3.title=isg1024speed
attrset.3.attributes=Cisco-Service-Info=QU;;1024000;;512000;;D;;1024000;;512000
attrset.4.title=isg512speed
attrset.4.attributes=Cisco-Service-Info=QU;;512000;;256000;;D;;512000;;256000
attrset.5.title=isg256speed
attrset.5.attributes=Cisco-Service-Info=QU;;256000;;128000;;D;;256000;;128000;Cisco-Service-Info=NInternet-Acct;Cisco-SSG-Account-Info=AInternet-Acct;Cisco-SSG-Account-Info=NInternet-Acct
attrset.6.title=isgfrombg
attrset.6.attributes=Cisco-Service-Info=NServiceISG;Cisco-SSG-Account-Info=AServiceISG;Cisco-SSG-Account-Info=NServiceISG
attrset.7.title=isgfromcicso
attrset.7.attributes=Cisco-Service-Info=NInternet-Acct;Cisco-SSG-Account-Info=AInternet-Acct;Cisco-SSG-Account-Info=NInternet-Acct;Cisco-Service-Info=QU;;256000;;128000;;D;;256000;;128000
#Атрибуты радиуса доступные в списке атрибутов в редактировании логина
radius.attributes=Service-Type;Framed-Protocol;Framed-IP-Address;Framed-IP-Netmask;Framed-Routing;Filter-Id;Framed-MTU;Framed-Compression;Login-IP-Host;Login-Service;Login-TCP-Port;Old-Password;Reply-Message;Callback-Number;Callback-Id;Expiration;Framed-Route;Framed-IPX-Network;State;Class;Session-Timeout;Idle-Timeout;Termination-Action;NAS-Identifier;Proxy-State;Framed-Pool;Cisco-Service-Info;cisco-avpair;cisco-SSG-Service-Info;Cisco-SSG-Account-Info;Acct-Status-Type
...
########################################################################
### ISG & POD & COA
nas.inspector.class=ru.bitel.bgbilling.kernel.network.radius.inspectors.PodNasConnectionInspector
#секрет для подписи пакетов (если не указан - берется секрет NASа)
nas.inspector.radius.secret=sesisg
#какие атрибуты добавлять в PoD/CoA запрос из сессии, если пустой параметр - высылаются все атрибуты
nas.inspector.radius.attributes=User-Name;Framed-IP-Address;Acct-Session-Id

#nas.inspector.coa.send.all.attributes=1
#nas.inspector.class=bitel.billing.server.processor.ISGNasConnectionInspector
#nas.inspector.pod.fixed.attributes=Cisco-AVPair=subscriber:command=account-logoff

nas.inspector.coa.timeout=5
##количество попыток отправить пакет CoA
nas.inspector.coa.retries=1
##количество потоков отправки CoA пакетов
nas.inspector.coa.threads=1
#на какой хост слать (если не указан - берется IP адреса NASа)
#nas.inspector.radius.host=
#на какой порт слать PoD/CoA запросы
nas.inspector.radius.port=1700
')

Настройки NASa (тут ничего для именно ISG нет!!!)
$this->bbcode_second_pass_code('', '
#принудительный разрыв соединений на границе месяца
month.break=1
#интервал между посылками на проверку либо сброс соедиенения
nas.inspector.sleep_time=60
#максимальное число попыток сброса соединения
nas.inspector.kill.max_messages=1
drop.sleep.timeout=3600

# NAS
netflow.receive.from=192.168.11.10
nas.port_time.default.*=16

nas.port_time.default.*=4
nas.port_traffic.default.*=1:COLLECTOR
')

Создал один тариф
Добавил мультиуслугу, привязал к ней все услуги (так для тестов)
и добавил три Тарифные опции
$this->bbcode_second_pass_code('', '
1 Тарифная опция Увеличение скорости 1024
- Набор радиус атрибутов: isg1024speed (перекрыть остальные)
- Зона: 1 (Действие с соединением: Послать CoA)
- Цена: 0 за 1 MB
2 Тарифная опция Увеличение скорости 256
- Набор радиус атрибутов: isg256speed (перекрыть остальные)
- Зона: 2 (Действие с соединением: Послать CoA)
- Цена: 0 за 1 MB
3 Тарифная опция
- Набор радиус атрибутов: isgfromcisco (перекрыть остальные)
- Зона: default (Действие с соединением: Послать CoA)
- Цена: 0 за 1 MB
')

Тарифные опции создал со следующими параметрами

$this->bbcode_second_pass_code('', '
Активация: с Текущего момента (0 часов)
Деактивация: Моментально
Реактивация: Разрешена
')

Теперь конфиг cisco
1. Включить AAA в режиме глобального конфигурирования с помощью команды aaa new-model
2. Создать группу радиус-сервера AAA-RADIUS-SERVERS с паролем ciscoisg

$this->bbcode_second_pass_code('', '
aaa new-model
!
!
aaa group server radius AAA-RADIUS-SERVERS
server-private 192.168.11.9 auth-port 1812 acct-port 1813 key ciscoisg
')

3. Сконфигурировать аутентификацию используя команду aaa authentication .
- для входа по PPPoE используем aaa authentication ppp
4. Сконфигурировать авторизацию используя команду aaa authorization
- для авторизации сессий PPPoE используем aaa authorization network
- для авторизаций сервисов используем aaa authorization subscriber-service (пока у меня не работает)
5. Сконфигурировать учет используя команду aaa accounting (хотя думаю все работают по net-flow и используют коллектор)
много интересного про aaa тут http://telenetwork.narod.ru/Doc/Cisco/Notes/aaacontr.html

$this->bbcode_second_pass_code('', '
aaa authentication login PPPoE group AAA-RADIUS-SERVERS
aaa authentication ppp PPPoE group AAA-RADIUS-SERVERS
aaa authorization network PPPoE group AAA-RADIUS-SERVERS
aaa authorization subscriber-service default local group AAA-RADIUS-SERVERS
aaa accounting update periodic 20
aaa accounting network PPPoE start-stop group AAA-RADIUS-SERVERS
')

6. Устанавливаем режим поддержки PoD и CoA
более подробно тут http://www.cisco.com/en/US/docs/ios/isg/configuration/guide/en_isg_ext_plcy_svrs.html#wp1061726
в общих словах - это настройка cisco в качестве AAA сервера, клиентом будет радиус с адресом 192.168.11.9 и ключом sesisg

$this->bbcode_second_pass_code('', '
aaa server radius dynamic-author
client 192.168.11.9 server-key sesisg
auth-type any
ignore session-key
!
')

7. Пока не знаю чем конкретно отличаются aaa session-id common от aaa session-id unique
но отличия по документам cisco
$this->bbcode_second_pass_quote('', '
') - Чтобы указать, будет ли использоваться один и тот же Идентификатор сессии для каждой проверки подлинности, авторизации и учета (AAA) в рамках вызова или ли же различные session ID.
- common - Гарантирует, что вся информация (идентификация) сессии, которая рассылается для данного вызова, будет идентична. Поведение по умолчанию.
- unique - Гарантирует, что только соответствующие access-requests и accounting-requests будут поддерживать общий идентификатор сеанса.


$this->bbcode_second_pass_code('', '
aaa session-id common
')

8. Позволяем пользователям авторизоваться

$this->bbcode_second_pass_code('', '
subscriber authorization enable
')

9. Создаем списки доступа Internet-in, Internet-out, Local-in, Local-out
10. По спискам доступа создаем class-map для трафика Internet, Local
11. По class-map создаем policy-map type service Local-Acct, Internet-Acct для учета трафика (собственно это и есть наши сервисы!!!)

$this->bbcode_second_pass_code('', '
class-map type traffic match-any Internet
match access-group output name Internet-out
match access-group input name Internet-in
!
class-map type traffic match-any Local
match access-group output name Local-out
match access-group input name Local-in
!
policy-map type service Local-Acct
class type traffic Local
accounting aaa list PPPoE
!
class type traffic default in-out
drop
!
!
policy-map type service Internet-Acct
class type traffic Internet
accounting aaa list PPPoE
!
class type traffic default in-out
drop
!
!
!
!
ip access-list extended Internet-in
deny ip any 62.148.230.0 0.0.0.255
permit ip any any
ip access-list extended Internet-out
deny ip 62.148.230.0 0.0.0.255 any
permit ip any any
ip access-list extended Local-in
permit ip any 62.148.230.0 0.0.0.255
ip access-list extended Local-out
permit ip any 62.148.230.0 0.0.0.255
')

12. Создаем для управления пользователями policy-map type control, которые применяются на интерфейсы маршрутизатора
- проводим аутентификацию пользователей 10 authenticate aaa list PPPoE, когда сессия стартует
class type control always event session-start

$this->bbcode_second_pass_code('', '
policy-map type control ISG3
class type control always event session-start
10 authenticate aaa list PPPoE
!
!
!
')

Если есть желание то про классы, полиси можно почитать тут http://alexandr.sysoev.ru/node/141#.D0.9D.D0.B0.D1.81.D1.82.D1.80.D0.BE.D0.B9.D0.BA.D0.B0_.D0.BF.D0.BE.D1.80.D1.8F.D0.B4.D0.BA.D0.B0_.D0.BF.D1.80.D0.BE.D1.81.D0.BC.D0.BE.D1.82.D1.80.D0.B0_.D0.B8.D1.81.D1.82.D0.BE.D1.87.D0.BD.D0.B8.D0.BA.D0.BE.D0.B2_.D1.81.D0.B5.D1.80.D0.B2.D0.B8.D1.81.D0.BE.D0.B2_-_.D0.BB.D0.BE.D0.BA.D0.B0.D0.BB.D1.8C.D0.BD.D1.8B.D0.B5_.D0.B8.D0.BB.D0.B8_downloaded

13. Включаем поддержку PPPoE на роутере и привязываем ее к к виртуальном интерфейсу virtual-template 1

$this->bbcode_second_pass_code('', '
bba-group pppoe global
virtual-template 1
sessions max limit 8000
!
')

14. Настраиваем наш гигабитный интерфейс
- Привязываем к bba-group - pppoe enable group global
- Говорим что это интерфейс с пользователями ip subscriber interface
Если, сделать так
$this->bbcode_second_pass_code('', '
ip subscriber routed
initiator unclassified ip-address
')
То $this->bbcode_second_pass_quote('', 'i')p subscriber routed означает что пользователи не подключены непосредсвенно к интерфейсу (т.е. их МАК-адреса использовать нельзя). initiator unclassified ip-address означает что сессия инициируется при появлении пакета с src- или dst-ip который не может быть отнесен ни к одной из существующих сессий.


$this->bbcode_second_pass_code('', '
interface GigabitEthernet1/0
ip address 192.168.11.10 255.255.255.0
negotiation auto
pppoe enable group global
ip subscriber interface
!
')

15. Создаем наш виртуальный интерфейс
- В качестве шлюза будет сам гигабитный интерфейс ip unnumbered GigabitEthernet1/0
- Аутентификация будет проходит по ppp authentication chap pap ms-chap PPPoE
- Авторизация ppp authorization PPPoE
- Вешаем наш service-policy - service-policy type control ISG3

$this->bbcode_second_pass_code('', '
interface Virtual-Template1
description "PPPoE"
ip unnumbered GigabitEthernet1/0
no ip redirects
no ip proxy-arp
ip flow ingress
no logging event link-status
no peer default ip address
keepalive 5
ppp mtu adaptive
ppp disconnect-cause keepalive lost-carrier
ppp authentication chap pap ms-chap PPPoE
ppp authorization PPPoE
ppp accounting PPPoE
service-policy type control ISG3
!
')

16. Прописываем свойства для обмена с радиус-сервером
- 44 Acct-Session-Id attribute
- 6 Service-Type attribute
- 8 Framed IP address attribute
- 32 NAS-Identifier attribute
- 55 Event-Timestamp attribute
- 25 Class attribute
- 31 Calling Station ID
- nas-port NAS-Port attribute configuration

- radius-server vsa send accounting и authentication позволять использовать VSA (vendor specific attribut)

$this->bbcode_second_pass_code('', '
radius-server attribute 44 include-in-access-req
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req
radius-server attribute 32 include-in-accounting-req
radius-server attribute 55 include-in-acct-req
radius-server attribute 55 access-request include
radius-server attribute 25 access-request include
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server attribute 31 mac format unformatted
radius-server retransmit 5
radius-server timeout 30
radius-server deadtime 1
radius-server vsa send accounting
radius-server vsa send authentication
')

17. Говорим, что наш гигабитник (его IP) и будет исходным интерфейсом для обмена с радиусом

$this->bbcode_second_pass_code('', '
ip radius source-interface GigabitEthernet1/0
')

Вот примерно и все, что касается настройки :)
vasco
 
Сообщения: 38
Зарегистрирован: 07 янв 2009, 02:07

Re: Мои изыскания по Cisco ISG

Сообщение vasco » 04 июл 2011, 11:12

Как проводить debug на cisco

1. Мониторинг запросов PoD и CoA
ISG2#debug aaa pod
AAA POD packet processing debugging is on
ISG2#debug aaa coa
AAA CoA packet processing debugging is on

2. Мониторинг подключения сессий PPPoE
ISG2#debug sss event
SSS Manager events debugging is on
ISG2#debug sss packet detail
SSS packet detail debugging is on
ISG2#debug sss aaa authorization event
SSS AAA authorization event debugging is on

3. Выявление общих ошибок подключения
ISG2#debug ppp negotiation
PPP protocol negotiation debugging is on
ISG2#debug ppp authentication
PPP authentication debugging is on
ISG2#debug ppp authorization
PPP authorization debugging is on

4. Просмотр дебага только с фильтром по одному пользователю (имя пользователя "0")
ISG2#debug condition username 0
Condition 1 set
vasco
 
Сообщения: 38
Зарегистрирован: 07 янв 2009, 02:07

Re: Мои изыскания по Cisco ISG

Сообщение vasco » 04 июл 2011, 11:14

Пример дебага по PoD и CoA

$this->bbcode_second_pass_code('', '
*Jul 1 14:35:41 UTC: COA: 192.168.11.9 request queued
*Jul 1 14:35:41 UTC: RADIUS: authenticator 26 59 0C 4B 54 31 FA 67 - C3 9B AF C8 00 98 20 B7
*Jul 1 14:35:41 UTC: RADIUS: User-Name [1] 3 "0"
*Jul 1 14:35:41 UTC: RADIUS: Framed-IP-Address [8] 6 192.168.200.2
*Jul 1 14:35:41 UTC: RADIUS: Acct-Session-Id [44] 10 "00000042"
*Jul 1 14:35:41 UTC: RADIUS: Vendor, Cisco [26] 40
*Jul 1 14:35:41 UTC: RADIUS: ssg-service-info [251] 34 "QU;256000;128000;D;256000;128000"
*Jul 1 14:35:41 UTC: ++++++ CoA Attribute List ++++++
*Jul 1 14:35:41 UTC: 65A5993C 0 00000009 username(386) 1 0
*Jul 1 14:35:41 UTC: 65A5A140 0 00000001 addr(8) 4 192.168.200.2
*Jul 1 14:35:41 UTC: 65A5A150 0 00000001 session-id(353) 4 66(42)
*Jul 1 14:35:41 UTC: 65A5A160 0 00000009 ssg-service-info(419) 32 QU;256000;128000;D;256000;128000
*Jul 1 14:35:41 UTC:
')

$this->bbcode_second_pass_code('', '
*Jul 4 08:58:21 UTC: POD: 192.168.11.9 request queued
*Jul 4 08:58:21 UTC: ++++++ POD Attribute List ++++++
*Jul 4 08:58:21 UTC: 65A5942C 0 00000009 username(386) 1 2
*Jul 4 08:58:21 UTC: 65A59A14 0 00000001 addr(8) 4 192.168.200.3
*Jul 4 08:58:21 UTC: 65A59A24 0 00000001 session-id(353) 4 178(B2)
*Jul 4 08:58:21 UTC:
*Jul 4 08:58:21 UTC: POD: Converted to internal Session-Id of 000000B2
*Jul 4 08:58:21 UTC: POD: 192.168.11.9 user 2 192.168.200.3 sessid 0xB2 key 0x0
*Jul 4 08:58:21 UTC: POD: Line User IDB Session Id Key
*Jul 4 08:58:21 UTC: POD: Skip <NULL> <NULL> 0.0.0.0 0x1 0x0
*Jul 4 08:58:21 UTC: POD: Skip <NULL> 0.0.0.0 0xA1 0x0
*Jul 4 08:58:21 UTC: POD: Skip Virtual- 0 192.168.200.2 0xAA 0x0
*Jul 4 08:58:21 UTC: POD: KILL Virtual- 2 192.168.200.3 0xB2 0x0
*Jul 4 08:58:21 UTC: POD: Sending ACK from port 1700 to 192.168.11.9/59570
')
vasco
 
Сообщения: 38
Зарегистрирован: 07 янв 2009, 02:07

Re: Мои изыскания по Cisco ISG

Сообщение vasco » 04 июл 2011, 11:17

Просмотр сессий пользователя

$this->bbcode_second_pass_code('', '
ISG2#sh sss session username 0 detailed
Unique Session ID: 36
Identifier: 0
SIP subscriber access type(s): PPPoE/PPP
Current SIP options: Req Fwding/Req Fwded
Session Up-time: 02:10:40, Last Changed: 02:09:19
Interface: Virtual-Access2.2

Policy information:
Context 6605231C: Handle 2D00002E
AAA_id 00000026: Flow_handle 0
Authentication status: authen
Downloaded User profile, excluding services:
timeout 86400 (0x15180)
ssg-account-info "AInternet-Acct"
ssg-account-info "NInternet-Acct"
ssg-service-info "NInternet-Acct"
username "0"
addr 192.168.200.2
ssg-service-info "QU;1024000;512000;D;1024000;512000"
Downloaded User profile, including services:
timeout 86400 (0x15180)
ssg-account-info "AInternet-Acct"
ssg-account-info "NInternet-Acct"
ssg-service-info "NInternet-Acct"
traffic-class "input access-group name Internet-in"
traffic-class "output access-group name Internet-out"
accounting-list "PPPoE"
traffic-class "input default drop"
traffic-class "output default drop"
username "0"
addr 192.168.200.2
ssg-service-info "QU;1024000;512000;D;1024000;512000"
Config history for session (recent to oldest):
Access-type: PPP Client: Push Command-Handler
Policy event: Process Config
Profile name: 0, 2 references
username "0"
addr 192.168.200.2
ssg-service-info "QU;1024000;512000;D;1024000;512000"
Access-type: Web-service-logon Client: SM
Policy event: Got More Keys (Service)
Profile name: Internet-Acct, 4 references
username "Internet-Acct"
password <hidden>
traffic-class "input access-group name Internet-in"
traffic-class "output access-group name Internet-out"
accounting-list "PPPoE"
traffic-class "input default drop"
traffic-class "output default drop"
Access-type: PPP Client: SM
Policy event: Got More Keys
Profile name: 0, 2 references
addr 192.168.200.2
timeout 86400 (0x15180)
ssg-account-info "AInternet-Acct"
ssg-account-info "NInternet-Acct"
ssg-service-info "NInternet-Acct"
ssg-service-info "QU;256000;128000;D;256000;128000"
Active services associated with session:
name "Internet-Acct"
Rules, actions and conditions executed:
subscriber rule-map ISG3
condition always event session-start
10 authenticate aaa list PPPoE

Session inbound features:
Feature: Policing
Upstream Params:
Average rate = 1024000, Normal burst = 512000, Excess burst = 0
Config level = Per-user

Traffic classes:
Traffic class session ID: 37
ACL Name: Internet-in, Packets = 9, Bytes = 1371
Default traffic is dropped
Unmatched Packets = 0, Re-classified packets (redirected) = 0

Session outbound features:
Feature: Policing
Dnstream Params:
Average rate = 1024000, Normal burst = 512000, Excess burst = 0
Config level = Per-user

Traffic classes:
Traffic class session ID: 37
ACL Name: Internet-out, Packets = 0, Bytes = 0
Default traffic is dropped
Unmatched Packets = 0, Re-classified packets (redirected) = 0

Non-datapath features:
Feature: IP Config
Peer IP Address: 192.168.200.2 (F/F)
Address Pool: [None] (F)
Unnumbered Intf: [None]
Feature: Session Timeout
Timeout value is 86400 seconds
Time remaining is 21:49:18
Configuration sources associated with this session:
Service: Internet-Acct, Active Time = 02:10:42
AAA Service ID = 2818572301
Interface: Virtual-Template1, Active Time = 02:10:42
')
vasco
 
Сообщения: 38
Зарегистрирован: 07 янв 2009, 02:07

Re: Мои изыскания по Cisco ISG

Сообщение vasco » 04 июл 2011, 11:18

Просмотр всех полиси

$this->bbcode_second_pass_code('', '
ISG2#sh sss policy profile
Current policy profile DB contents are:
Profile name: Internet-Acct, 5 references
username "Internet-Acct"
password <hidden>
traffic-class "input access-group name Internet-in"
traffic-class "output access-group name Internet-out"
accounting-list "PPPoE"
traffic-class "input default drop"
traffic-class "output default drop"
Profile name: 0, 3 references
username "0"
addr 192.168.200.2
ssg-service-info "QU;1024000;512000;D;1024000;512000"
Profile name: 0, 3 references
addr 192.168.200.2
timeout 86400 (0x15180)
ssg-account-info "AInternet-Acct"
ssg-account-info "NInternet-Acct"
ssg-service-info "NInternet-Acct"
ssg-service-info "QU;256000;128000;D;256000;128000"
')
vasco
 
Сообщения: 38
Зарегистрирован: 07 янв 2009, 02:07

Re: Мои изыскания по Cisco ISG

Сообщение skyb » 04 июл 2011, 12:08

А модуль инет и вики ? ;) :idea: :lupa: :umnik:
$this->bbcode_second_pass_code('', '
Клиент: вер. 6.2.714 / 25.05.2015 17:27:15
os: Linux; java: Java HotSpot(TM) 64-Bit Server VM, v.1.8.0_45
Сервер: вер. 6.2.881 / 22.05.2015 17:56:55
os: Linux; java: Java HotSpot(TM) 64-Bit Server VM, v.1.8.0_45
')
Помощь по администрированию bgbilling в jabber конференции или Группа в telegram
Стиль программирования - пьяный мастерстер
Разработка мобильных приложений
Аватара пользователя
skyb
Клиент
 
Сообщения: 7166
Зарегистрирован: 03 авг 2009, 18:42
Откуда: Благовещенск

Re: Мои изыскания по Cisco ISG

Сообщение vasco » 04 июл 2011, 15:18

Да пока все сюда, может, кто еще что напишет, потом и в wiki мона будет выложить :)

Еще парочку интересных вещей
Cisco-Service-Info=QU;;1024000;;512000;;D;;1024000;;512000 в модуле DialUp полностью можно описать так
Cisco-Service-Info=QU;;1024000;;512000;;512000;;D;;1024000;;512000;;512000
означает следущее
$this->bbcode_second_pass_quote('', '
')U:upload-rate;upload-burst;upload-burst-max
- 1 параметр upload-rate (допустимая скорость (bit/s) )
- 2 параметр upload-burst (размер всплеска (в байтах) )
- 3 параметр upload-burst-max(максимальный размер всплеска (в байтах) )
D;download-rate;download-burst;download-burst-max
- аналогично U


отображается командой sh sss session username 0 detailed
$this->bbcode_second_pass_code('', '
...
Feature: Policing
Upstream Params:
Average rate = 1024000, Normal burst = 512000, Excess burst = 0
Config level = Per-user
...
Session outbound features:
Feature: Policing
Dnstream Params:
Average rate = 1024000, Normal burst = 512000, Excess burst = 0
Config level = Per-user
...
')

про QoS интересно почитать тут http://www.network.xsp.ru/8_3_12.php (это rate-limit, но суть одна)
vasco
 
Сообщения: 38
Зарегистрирован: 07 янв 2009, 02:07
Вернуться к началу

Re: Мои изыскания по Cisco ISG

Сообщение vasco » 04 июл 2011, 15:26

Интересные ссылочки от cisco

1. Думаю с этого надо начинать

Configuring ISG Subscriber Services
http://www.cisco.com/en/US/docs/ios/isg/configuration/guide/isg_subscriber_svcs.html#wp1054526

2. Здесь можно увидеть таблицу Table 2 RADIUS Service and User Profile Attributes , где описаны атрибуты, которые можно посылать и в каком виде

Cisco SSG-to-ISG DSL Broadband Migration Guide
http://www.cisco.com/en/US/docs/ios/solutions_docs/edge_ios_migration/migv2.html#wp1246871

3. Здесь можно почитать про то как работает CoA, да и вообще как железка общается с радиусом

ISG RADIUS Interface
http://www.cisco.com/en/US/docs/ios/12_2sb/isg/coa/guide/isgcoa3.html#wp1118806
vasco
 
Сообщения: 38
Зарегистрирован: 07 янв 2009, 02:07

Re: Мои изыскания по Cisco ISG

Сообщение vasco » 04 июл 2011, 15:50

Вопрос к разработчикам
Если у меня Download Services (т.е. сервисы беруться с радиуса)
1. Сервисы суть в радиусе - те же пользователи с определенными атрибутами
2. Почему у меня когда авторизуется Сервис, то он подменяет собой авторизацию пользователя?
т.е. сессия Сервиса накрывает сессию Пользователя?
vasco
 
Сообщения: 38
Зарегистрирован: 07 янв 2009, 02:07

Re: Мои изыскания по Cisco ISG

Сообщение snark » 04 июл 2011, 16:04

$this->bbcode_second_pass_quote('vasco', '')умаю с этого надо начинать

IMHO начинать надо с этого, т.е.
$this->bbcode_second_pass_code('', 'http://cisco.com/go/isg')
Иначе без понимания того что это такое и как это вообще работает невозможно, собственно, отконфигурить _это_ как следует.
snark
Клиент
 
Сообщения: 3944
Зарегистрирован: 12 фев 2008, 18:10
Вернуться к началу

Re: Мои изыскания по Cisco ISG

Сообщение Администратор » 17 авг 2011, 18:45

http://wiki.bgbilling.ru/index.php/Cisc ... 1%80%D0%B0
- начал описывать в Wiki, только применительно к Inet модулю.
Администратор
Разработчик
 
Сообщения: 5644
Зарегистрирован: 27 ноя 2006, 20:36

Re: Мои изыскания по Cisco ISG

Сообщение Dmitri » 29 ноя 2011, 02:49

Коллеги, поясните, а зачем в расписываемых примерах использовать:

1. policy-map type control ISG3, ведь используется PPPoE, а не DHCP?
2. subscriber authorization enable, ведь Radius из 5.1 - не пнимает сервисных сессий?
3. ip subscriber routed, тоже непонятно, разве это нужно в PPPoE?
God Bless Linux! and blessings to FreeBSD!
Dmitri
 
Сообщения: 362
Зарегистрирован: 13 июн 2008, 15:10
Откуда: Москва


Вернуться в Модуль DialUp (VPN)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron